用户ER5200G2作为网络出口设备，客户端、ER5200G2和第三方路由器同时接在一个二层交换机下，配置同一网段地址192.168.1.0/24，其中ER5200G2 LAN口IP地址192.168.1.1作为客户端网关。第三方路由器另一端连接了一个服务器1.1.1.2，提供远程桌面服务。用户反馈目前在客户端无法远程登录到该服务器上。在这种情况下如果用其他路由器(具体型号未提供)替换ER5200G2，那么访问正常，或者在使用ER5200G2的情况下把客户端的网关设置到第三方路由器上，那么访问也是正常的。

　　首先跟用户确认了一下网络的连通性，用户确认客户端是可以ping通服务器的。而后查看ER5200G2的配置，发现并无特殊配置会影响甚至阻断客户端访问服务器的远程桌面服务，但是用户提到替换路由器或者更换网关测试访问都正常，所以问题还是明显地指向了ER5200G2。这种配置已经无法解释的问题，我们较先想到的就是通过抓包去分析，此时我们镜像了ER5200G2的LAN口报文和二层交换机3口的报文，通过抓包，我们看出了一些端倪。

　　查看ER5200G2 LAN口的镜像报文，我们发现只有客户端192.168.1.2到服务器1.1.1.2方向的报文，这也不难解释，因为客户端的网关在ER5200G2上，“去报文”客户端是先发给网关ER5200G2，再由ER5200G2转发给第三方路由器。而“回报文”到达第三方路由器时，由于该路由器与客户端在同一网段，所以直接转发给客户端而不会再发给ER5200G2，所以TCP三次握手的三个报文只有两个“去报文”SYN和ACK经过ER5200G2处理。

　　那为什么不通呢?明明TCP三次握手的三个报文都有了啊!因为ER5200G2并不在报文交互的“主干路”上，所以并不能以ER5200G2 LAN口的抓包信息下定结论，让我们再看看报文交互“主干路”上的二层交换机3口的抓包信息。从这个抓包信息里我们可以看到，TCP三次握手只完成了前两个报文ACK和SYN,ACK，并没有抓到较后一个ACK报文，那么答案也就呼之欲出了，客户端把较后一个报文ACK发给了ER5200G2，但是在二层交换机上却没有抓到这个报文，我们能想到的答案就是ER5200G2把这个报文丢弃了。

　　这也不难解释，因为ER5200G2收到了TCP三次握手的第一个SYN报文，之后没收到第二个报文SYN,ACK，直接收到第三个报文ACK，这就是一个不完整的TCP三次握手，ER5200G2对于这种情况，是直接丢弃不处理的，所以ER5200G2就把第三个报文ACK直接丢弃了，而不是转发给第三方路由器。这样TCP连接建立失败，客户端也就无法访问服务器远程桌面了。

　　此问题的根本原因是由于TCP三次握手报文来回路径不一致，导致被ER5200G2阻断。目前提供以下两种解决方案，其根本目的在于将原本在同一网段的客户端、ER5200G2和第三方路由器划分成两个网段，即客户端和ER5200G2在一个网段，ER5200G2和第三方路由器划为另一个网段。从而避免来回路径不一致的问题。

　　方案1：将第三方路由器连接二层交换机3口的线路直接连接到ER5200G2的另外任意一个LAN口，ER5200G2和第三方路由器再起一个互联网段，两者配置相应的静态路由。改造后的组网拓扑如下图所示。该方案配置起来相对简单，组网清晰明了，同时对于用户的二层交换机没有额外的要求。

　　方案2：组网拓扑不做修改。在ER5200G2上再起一个VLAN网段(如VLAN 2)，将ER5200G2和二层交换机之间互联的端口都配置成trunk模式，家用路由器配置与VLAN 2同一网段地址，两个路由器配置相应的静态路由。这就相当于一个单臂路由的模式。此种方案不用更改组网，但涉及到的配置较多，且需要二层交换机端口支持配置trunk模式。